我正在尝试在 CentOS 7 上使用 SSSD 设置 LDAP 身份验证。
是否可以以使用两台 LDAP 服务器的方式设置 SSSD:一台 LDAP 服务器仅用于登录(基本上只是使用密码进行身份验证),另一台 LDAP 服务器用于获取用户的所有其他属性( homeDirectory,仅在该 LDAP 服务器上定义的附加 LDAP 属性)?
用户在两台服务器上定义(相同的 uid,但不同的基数)。
答案1
这个(相同的)问题已在服务器故障:
不,我认为除了丑陋的黑客之外这是不可能的。 sssd 支持的唯一特殊情况是用于更改密码操作的不同 LDAP 服务器(使用
ldap_chpass_uri
)。但您可以做的是使用
id_provider=proxy
、将其配置为使用nslcd
(又名nss-pam-ldapd
)并配置nslcd
为使用身份 LDAP 服务器。然后配置auth_provider=ldap
并将其指向身份验证 LDAP 服务器。这不太漂亮,而且您将运行两个 LDAP 守护程序,但我想不出另一种方法来解决该问题。